伟思安全隔离网闸Vigap300型号的配置说明与注意事项 配置前的准备工作:
1) 网闸外观和接口
2) 实施前要知道客户的网络拓扑图,根据客户应用决定网闸需要安装在哪个节点,和网闸需要的IP地址数 3) 先把用来配置网闸的电脑IP修改成10.119.119.*(119除外),掩码255.255.255.0,安装控制平台后会在桌面生成一个快捷图标,对应的是所在安装目录的
4) 用直连网线(子母锁
B类线)连上网闸可信端网口(网闸默认内网口和外网口各两个,只有中间的两个可以用),ping 10.119.119.119测试网络连接是否正常,然后进行配置。 5) 中开泵节能
网闸开箱默认模式是set模式 ,根据需要可以在控制平台里进行模式转换。(透明模式管 理IP:172.26.78.1,禁ping,可以telnet ip 112测试)
网闸配置的一般步骤:
1) 双击桌面快捷图标启动管理平台,默认用户名:admin,密码:admin05。进入管理平台,如下图:主页面分三部分,安全隔离与信息交换设备,系统安全审计功能,访问控制规则表。一般很少用到系统安全审计功能。
无心磨床自动上料机2) 安全隔离与信息交换设备页面,右键点击隔离设备,选择添加(注意:一定要保证设备已经开机,笔记本已经连接设备可信端接口,并配置IP已经测试连通性,如果笔记本与设备之间的网络不通的情况下,在该页面添加设备会报错),然后弹出如下图对话框
点下一步会跳到配置IP信息及系统名的页面如下图
如上图标注,其中可信端的IP地址是灰,鼠标无法选中并配置(300的设备可信端的接口地址是没办法在这个页面进行配置的,即使IP不配,配置上网关和掩码也是不生效的),配置好IP信息后点击下一步会跳到选择设备配置中需要用到的内网和外网所需要开放的对应服务端口信息页面,默认全选上(在后面的文档中会介绍到这一部分)。最后点击完成,回到如下图的界面。
3) 切换到访问控制规则表页面,如下图
这个页面里主要是配置配置过程中所用到的端口及详细控制访问策略。
主机:
策略控制中会用到(即配置策略中的源端或者目的端);右键添加,如下图:
主机名尽量起一些一看就知道是哪台服务器或者PC客户机的名,IP地址就是服务器或者客户机的IP地址,主机类型,如果是PC客户机,选择工作站,如果是服务器,必须选择服务器(即使下面没有列出来对应的服务器,比如orcal数据库服务器,也必须勾选服务器,下面的可以不选)
网络:
与主机类似,策略控制中会用到(即配置策略中的源端或者目的端);右键添加,如下图:
这部分主要是可以整个段的添加访问策略主机或者服务器。
协议:
映射和策略控制都会用到,比如默认的端口服务只有,现在需要在映射中用到orcal端口,就需要在协议里先把桑叶采摘器orcal端口添加上,右键点协议,新建,如下图:
内容及定时检查:
这两部分主要也是详细配置策略的时候才会用到,一般很少用。
策略配置完成后,一定要上载ACL配置,才会生效。
下面的界面是配置策略的界面。如下图,是详细配置策略的说明。对应的源端和目的端及协议可以在主机或者网络里直接拖拽到相应的位置,动作可以选择接受或者拒绝。配置策略中要注意如果是拒绝的话,一条拒绝就可以配置完成,但是如果是允许的话,需要配置两条策略,另外一条回指一下才可以。比如:a(可信端客户pc机)访问b(映射到可信端的服务器)拒绝,只需要源a,目的b,动作拒绝;如果是a(可信端客户pc机)访问b(映射到可信端的服务器)允许,需要配置源a,目的b,动作接受;源b,目的a,动作接受。下图的策略配置应该是有问题的,这个需要实际环境下测试下。
4) 回到安全隔离信息与交换设备页面,双击隔离设备的设备名test进入到test的配置界面
切换到协议属性配置选项中,如下图,如果映射中有用到别的协议属性端口,需要先在访问控制规则表页面的协议里添加相应的协议端口,然后在该选项中把对应的需要映射的端口勾选上,映射配置中才会有对应的端口协议。如果需要在mail、http、ftp协议中过滤某些内容,可以双击该协议,跳出过滤的对话框进行配置。
隔离设备内部映射配置:
即外网的某个服务器需要让内网用户访问,需要在该处添加映射。点击增加。如下图,源端,即外网的源服务器地址(可以是IP地址,也可以是域名),目的端,映射到内网让用户访问的虚拟地址(必须是IP地址,内网有dns服务器的除外,可根据需要配置),可以与源服务器地址一致,也可以是内网段的一个地址,提供给用户访问的地址;比如www.baidu为源端,目的端是192.168.0。2,协议勾选http。内网用户访问www.baidu只能访问192.168.0.2。
另外需要说明的是前面提到过,设备配置可信端IP信息是不生效的,所以如果没有外网要映射到内网的服务的情况下,内网的接口是没有接口地址的(只有一个管理地址:10.119.119.119),即内网与设备间网络是不通的。这种情况下,就需要添加隔离设备内部映射,添加一条映射来做接口地址,即:源端:10.10.10.10(可以任意),目的端:根据需要配置相应的接口地址。比如可信端接入的网络是192.168.0.x,可以配置为192.168.0.254(即内网可用的一个空地址)。另外如果内网挂的有三层设备,比如做的有192.168.1.x段的路由,而且该段用户需要访问过网闸设备映射的服务器,需要在路由里面可信端添加条回程路由。
隔离设备外部映射配置:
同隔离设备内部映射相似,外端映射是外部用户需要访问可信端某些服务器,做相应的配置。
配置完成以后,要更新设备配置,更新的时候,可以看下设备的前端显示面板,会有相应的字母提示,更新后重启设备配置才会生效。
300设备特殊应用配置
300设备默认是sat模式,该模式下,过设备的访问是转源的。可以在控制平台进行模式转换, 对应的快捷图标的蝴蝶就是转模式的
其中sat和路由代理模式基本没用,最好不要转这个模式,如果需要,转成sat和透明代理模式。透明模式,基本上可以理解为两块网卡桥接了一下,具体可以配合着策略来控制。该模式下设备不转源。透明模式的管理IP是172.26.78.1,该模式测试是否与设备连通可以telnet 172.26.78.1 112,该模式是禁ping管理地址的,只能telnet。Sat+透明代理模式简称NAT模式,300的设备如果走该模式,可以单项全部放行,具体模式配置,需要内网接口地址所在网络的网关指向网闸可信端接口的映射IP地址。这样配置后,可以实现内网访问外网所有数据。该模式也是转源的,具体可配合策略来做。
300设备注意事项:
1. 如果映射orcal数据库的时候,映射做好后,连接不上数据库,一定要问清楚是什么版本的数据库,10g的版本需要在服务器上绑定下orcal的1521端口(具体怎么绑定可以百度,也可以向伟思的技术咨询如何绑定)。另外,如果对方orcal数据库服务器有做负载均衡的话,虚地址也要在网闸上放行,否则可能部分应用不正常(双机热备不影响)。
Orcal数据库服务器9g和10g版本windows平台绑定1521端口:绑定端口(1521,传输是动态端口) 打开注册表:运行->CMD->regedit在HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\HOME0下新建一字符串,字符串名:USE_SHARED_SOCKET,值为:TRUE
2. ip地址:可信端默认的是管理IP折叠收纳箱,配置的网关、dns、掩码都不会生效。接口ip地址需要在内网映射里面做配置,比如任意地址10.10.10.10指向可信端接口IP地址,如需要添加回程路由,在路由设置的可信端添加即可。非可信段默认按接口地址配置就可以生效。
3. 如果是新调试一台设备,最好手动添加下设备,按步骤把IP信息配置好后,如果有备份文件,再导入配置文件。
4. 透明模式的默认IP是:172.26.78.1 端口:112、221。禁ping,可以telnet IP 端口来测试
5. 300的设备默认支持可信端与非可信端在同一个网段。并且可信端与非可信端的IP稀土镁合金地址都是独立的两个网络中的IP,即可信端与非可信端网络中即使存在网络IP一致也不会冲突,但是网络应用中应尽量避免类似情况。(这点与500的设备不太一致)
6. 300的设备纯sat模式是转源的,500的设备纯sat模式是不转源的。
7. 300的设备,默认是过15分钟左右自动断开过网闸的空线程。500的设备是72小时.
8. 多看看客户备份配置文件,结合拓扑图试着了解下配置思路。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议